• Die Forscher deckten während der Black Hat 2019-Konferenz mehrere WhatsApp-Schwachstellen auf.
• Die Sicherheitslücken ermöglichen schlechten Darstellern, Chats zu manipulieren.
• Facebook hat keine Lösung für die Sicherheitsanfälligkeiten.

Die jüngsten Sicherheitslücken von WhatsApp ermöglichen es schlechten Schauspielern, Chats zu fälschen und sie so aussehen zu lassen, als stammten sie von Ihnen, berichtete Check Point Research gestern. Check Point Research gab seine Ergebnisse während der Sicherheitskonferenz von Black Hat 2019 bekannt.

Den Forschern zufolge gab es drei Möglichkeiten, die Sicherheitslücken auszunutzen:

1. Verwenden Sie die Funktion "Anführungszeichen" in einer Gruppenkonversation, um die Identität des Absenders zu ändern, auch wenn diese Person kein Mitglied der Gruppe ist.
2. Ändern Sie den Text der Antwort eines anderen, indem Sie ihm im Wesentlichen Wörter in den Mund stecken.
3. Senden Sie eine private Nachricht an einen anderen Gruppenteilnehmer, der für alle als öffentlich getarnt ist. Wenn die angesprochene Person antwortet, ist dies für alle Teilnehmer der Konversation sichtbar.

Check Point hat WhatsApp im August 2018 über die Sicherheitslücken informiert. WhatsApp hat dann die dritte Methode behoben. Forscher fanden jedoch heraus, dass es immer noch möglich ist, Zitate zu manipulieren und sie zu fälschen. Check Point verwendete seine Burp Suit Extension, um WhatsApps durchgängige Verschlüsselungs- und Entschlüsselungs-Chats zu unterbrechen. Das ausnutzbare Element hier ist die Webversion von WhatsApp, die QR-Codes zum Koppeln mit Ihrem Telefon verwendet.

Check Point hat zuerst das öffentliche und private Schlüsselpaar abgerufen, das erstellt wurde, bevor WhatsApp einen QR-Code generiert. In Kombination mit dem „geheimen“ Parameter, den Ihr Telefon beim Scannen des QR-Codes an den WhatsApp-Webclient sendet, erleichtert die Burp Suit Extension die Überwachung und Entschlüsselung von s.

Ein Facebook-Sprecher gab folgende Erklärung ab Das nächste Web:

Wir haben dieses Problem vor einem Jahr sorgfältig geprüft und es ist falsch, darauf hinzuweisen, dass es eine Sicherheitslücke gibt, die wir für WhatsApp bereitstellen. Das hier beschriebene Szenario ist lediglich das mobile Äquivalent zum Ändern von Antworten in einem E-Mail-Thread, damit es so aussieht, als hätte eine Person nichts geschrieben. Wir müssen uns darüber im Klaren sein, dass das Ansprechen von Bedenken dieser Forscher WhatsApp weniger privat machen könnte - beispielsweise das Speichern von Informationen über die Herkunft von s.

Leider scheint das Unternehmen keine Lösung für die WhatApp-Sicherheitslücken zu haben. Da der Nachrichtendienst eine End-to-End-Verschlüsselung verwendet, kann Facebook nicht auf entschlüsselte Versionen von s zugreifen. Das bedeutet, dass Facebook nicht eingreifen kann, wenn schlechte Schauspieler die oben genannten Sicherheitslücken ausnutzen.